RGPD pour psychologues : ce qu'il faut absolument savoir en 2026

Vos patients vous confient ce qu'ils ont de plus intime. Le RGPD ne vient pas alourdir cette responsabilité, il la formalise. Voici, sans jargon, ce qu'un psychologue, psychothérapeute ou psychanalyste en libéral doit savoir et appliquer en 2026.

Les 5 obligations à retenir

Tenir un registre des traitements (obligatoire même seul·e).
Informer vos patients via une notice de confidentialité claire.
Garantir l'exercice des droits patients (accès, rectification, effacement).
Sécuriser concrètement les données (chiffrement, mot de passe, sauvegardes).
Conserver les dossiers selon la durée légale de 20 ans après la fin du suivi.

1. Vous êtes « responsable de traitement »

En tant que psychologue libéral, vous décidez seul des moyens et des finalités du traitement des données de vos patients. Aux yeux du RGPD, vous êtes responsable de traitement — qualification qui implique des obligations directes, indépendamment de la taille du cabinet.

Bonne nouvelle : depuis 2018, la CNIL a publié des guides simplifiés pour les professionnels de santé en libéral. La conformité n'est pas hors d'atteinte ; elle se construit avec quelques documents et de bonnes pratiques.

2. Le registre des traitements

C'est le document de base, et il est obligatoire — y compris pour un cabinet à un seul praticien. Il liste les traitements de données que vous effectuez :

La gestion des dossiers patients (anamnèse, comptes-rendus, attestations).
La gestion des rendez-vous.
La facturation et la comptabilité.
Le cas échéant, vos prises de notes cliniques, vos questionnaires d'évaluation, vos courriers à des confrères.

Pour chaque traitement, il faut préciser : la finalité, les catégories de données, les destinataires, la durée de conservation, et les mesures de sécurité.

3. La notice d'information aux patients

Lors de la première séance, vos patients doivent être informés de la manière dont vous traitez leurs données. Une simple feuille A4 affichée en salle d'attente ou remise au premier rendez-vous suffit, à condition qu'elle mentionne :

Votre identité et vos coordonnées de contact.
Les finalités du traitement (suivi clinique, facturation, obligations légales).
La base légale du traitement — pour un psychologue libéral, c'est généralement l'exécution d'un contrat de soin et l'obligation légale de conservation.
La durée de conservation.
Les droits du patient et les modalités pour les exercer.
La possibilité de réclamer auprès de la CNIL.

4. Les droits patients : ce que vous devez pouvoir faire

Le RGPD garantit à chaque patient quatre droits que vous devez être en mesure de respecter dans un délai d'un mois maximum :

Droit d'accès : obtenir une copie de son dossier.
Droit de rectification : corriger une information factuelle erronée (orthographe d'un nom, date de naissance…).
Droit à l'effacement : demander la suppression — encadrée par les obligations légales de conservation.
Droit à la portabilité : recevoir ses données dans un format réutilisable.

Important : les notes personnelles cliniques du psychologue peuvent, dans certains cas, ne pas être communicables au patient. C'est une question délicate, à apprécier au cas par cas et en lien avec votre code déontologique.

5. La sécurité concrète

Le RGPD demande des « mesures techniques et organisationnelles appropriées ». Pour un cabinet libéral, cela se traduit en pratique par :

Un poste de travail verrouillé par mot de passe.
Une session distincte de celle de votre conjoint ou de vos enfants.
Un logiciel professionnel avec base chiffrée — pas un fichier Word ou Excel sur le bureau.
Une sauvegarde chiffrée, idéalement automatique, hors du poste principal.
Un antivirus à jour et un système Windows à jour.
Pas d'envoi d'informations sensibles par e-mail non chiffré.

6. La durée de conservation

Pour un psychologue, la règle de référence est de 20 ans à compter du dernier contact avec le patient, alignée sur les recommandations du Code de la santé publique pour les dossiers médicaux. Pour les patients mineurs, ce délai court à partir de leur majorité.

Au-delà, vous devez supprimer ou anonymiser les données. Un bon logiciel vous aide à appliquer cette règle automatiquement.

Checklist conformité — à imprimer

Êtes-vous prêt en 10 points ?

☐ Mon registre des traitements est rédigé et à jour.
☐ Mes patients sont informés (notice remise ou affichée).
☐ Je sais comment traiter une demande d'accès en moins d'un mois.
☐ Mon poste est protégé par mot de passe.
☐ Mes données patients sont dans une base chiffrée, pas dans un fichier Word.
☐ Je dispose d'une sauvegarde chiffrée hors du poste principal.
☐ Je connais la durée de conservation applicable (20 ans).
☐ Je n'envoie pas d'informations sensibles par e-mail non chiffré.
☐ Mon hébergeur ou mon logiciel est conforme (HDS ou base locale chiffrée).
☐ J'ai documenté ma démarche (au cas où la CNIL me contacterait).

Et VisualCab dans tout ça ?

VisualCab a été pensé dès l'origine pour vous aider à cocher la majorité de cette checklist sans effort : base chiffrée locale, journal scellé des accès, export RGPD en un clic, politique de rétention configurable. Voir le détail des mesures de sécurité.

Le RGPD n'est pas un obstacle à votre pratique. Bien outillé, c'est même une opportunité de renforcer la confiance que vos patients vous accordent.